CCleaner был взломан, что вам нужно знать

CCleaner, невероятно популярная утилита для обслуживания ПК, была взломана, чтобы включить вредоносное ПО. Вот как узнать, были ли вы затронуты, и что вы должны делать.

Атака была описана исследователями Cisco Talos следующим образом: «легитимная подписанная версия CCleaner 5.33… также содержала многоэтапное вредоносное ПО, загружаемое поверх установки CCleaner». Родительская компания CCleaner, Piriform (недавно купленная страшная антивирусная компания Avast), вскоре после этого признала проблему.

Поскольку CCleaner утверждает, что имеет миллионы загрузок в неделю, это потенциально серьезная проблема.

Что делает вредоносное ПО??

Вредоносная программа не наносила активного вреда системам, но шифровала и собирала информацию, которая может быть использована для нанесения вреда вашей системе в будущем. В частности, по словам Пириформа, он создал уникальный идентификатор для компьютера и собрал:

• Имя компьютера
• Список установленного программного обеспечения, включая обновления Windows
• Список запущенных процессов
• MAC-адреса первых трех сетевых адаптеров
• Дополнительная информация о том, запущен ли процесс с правами администратора, является ли он 64-битной системой и т. Д..

Вы можете прочитать дополнительную техническую информацию о нападении в блоге Cisco Talos и в блоге Piriform..

Был ли я затронут?

К счастью, похоже, что эта вредоносная программа затронула только определенную группу пользователей CCleaner. В частности, это повлияло на:

• Пользователи, использующие 32-разрядную версию приложения (не 64-разрядную версию)
• Пользователи, использующие версию 5.33.6162 CCleaner или CCleaner Cloud 1.07.3191, выпущенную 15 августа 2017 г.

Поскольку многие пользователи, вероятно, используют 64-разрядную версию приложения, а CCleaner Free не обновляется автоматически, это хорошая новость для многих людей..

(ОбновитьЧерез несколько дней после выхода этой новости была обнаружена вторая полезная нагрузка, которая затронула 64-битных пользователей, но это была целевая атака на технологические компании, поэтому вряд ли это затронуло большинство домашних пользователей.)

Если вы используете 32-разрядную версию Windows и думаете, что, возможно, загрузили CCleaner в течение указанного периода времени, вот как проверить, какая у вас версия. Откройте CCleaner и посмотрите в верхнем левом углу окна - вы должны увидеть номер версии под названием программы.

Если эта версия до версии 5.33.6162, то это не влияет на вас, и вы должны вручную загрузить последнюю версию сейчас. Если эта версия 5.34 или более поздняя, ​​ваша текущая версия не затронута, но если вы обновили CCleaner в период с 15 августа по 12 сентября и работаете в 32-разрядной системе, возможно, вы все равно пострадали. (Если вам удобно заходить в реестр, вы можете открыть редактор реестра и перейти к HKLM \ SOFTWARE \ Piriform и посмотреть, если есть ключ с надписью Agomo: Muid . Если этот ключ существует, это означает, что в какой-то момент в вашей системе было зараженное программное обеспечение.)

Что я должен делать?

Несмотря на то, что ничего не было обнаружено, Cisco Talos рекомендует восстановить состояние системы до 15 августа 2017 года из резервной копии, если это повлияло на вас. Вам, вероятно, следует запустить антивирусную проверку и проверку MalwareBytes в своей системе и в резервных копиях, чтобы убедиться, что вредоносное ПО не установлено..

В качестве альтернативы, говорят, вы можете полностью переустановить Windows - да, это немного ядерный вариант, но это единственный способ полностью узнать, что ваша система чиста после такого события.